USB-muistitikut - SecMeter

Sisältöön

USB-muistitikut

Yritysturvallisuus > Tietoturvallisuus
USB (Universal Serial Bus) on oheislaitteiden liittämiseen tarkoitettu väylä.

USB-väylään voidaan liittää erityyppisiä laitteita kuten mm. tulostimia, massamuistilaitteita, skannereita, puhelimia ja kameroita.

Eräs käytetyimmistä USB-väylään liitettävistä massamuistilaitteista on muistitikku.

USB-muistitikut (flash-muisti) ovat lyhyessä ajassa saaneet suuren suosion.  Pienenä, luotettavana ja halpana massamuistilaitteena USB-muistitikut on koettu käyttöominaisuuksiltaan ylivertaisiksi.

Saatavana on mm. sormenjälkitunnistukseen perustuvia tai esim. MIL-STD 810F standardin täyttäviä malleja. Markkinoilla on myös muistitikkuja, jotka tuhoavat itse itsensä, jos väärää salasanaa yritetään liian monta kertaa.

Riskit
Haittaohjelmat saattavat levitä yrityksen tietojärjestelmään saastuneelta muistitikulta. Hallinnollisena lähtökohtana tulee olla, ettei henkilöstö käytä omia tai kumppaneilta saatuja muistitikkuja yrityksen tietojärjestelmässä.

Lokeista huolimatta, yrityksen on lähes mahdotonta tietää tai todistella mitä tietoja ja milloin käyttäjä on kopioinut tietojärjestelmistä. Muistitikun nopea ja helppo liittäminen tietokoneeseen, pieni koko sekä suuri tallennuskapasiteetti ovat omiaan altistamaan yrityksen tahattomille ja tahallisille tietovuodoille.

On luonnollista, että yrityksen näkökulmasta USB-muistitikun käyttö on nähty uhkatekijänä, joka mahdollistaa mittavat tietovuodot ja -varkaudet. Keskeinen kysymys kuuluu, kuinka riskit voidaan ehkäistä ilman, että menetetään esimerkiksi muistitikkujen käyttöön liittyvät hyödyt (tuottavuus)?

Hallinnollinen suojausratkaisu
Hallinnollinen suojausratkaisu perustuu yleensä muistitikun kategoriseen käyttökieltoon. Ratkaisun ongelmaksi muodostuvat tuottavuutta lisäävän välineen hyödyntämättä jättäminen ja käyttökiellon valvonta. Vaikeasti perusteltavien kieltojen ongelmana on myös käyttäjiä syyllistävä vaikutus, joka puolestaan korreloi työilmapiiriin.

Tekniset suojausratkaisut

Salakirjoitus
Salakirjoitukseen perustuva suojaus voi olla laitepohjainen tai ohjelmallinen. Salakirjoitus estää tiedon paljastumisen ulkopuoliselle esimerkiksi hukkaamistapauksissa. Ratkaisun ongelmana on, että organisaatiolla ei ole mahdollisuutta hallinnoida (kontrolloida) muistitikun käyttöä, koska ainoastaan käyttäjä tuntee salasanan (salausavaimen).

Holvaus
Holvaus on suomalaisen Envault Corporationin kehittämä ohjelmallinen salausratkaisu, jossa muistitikkua hallinnoi käyttäjän sijaan työnantaja.

  • Muistivälineen käyttö on sidottu yrityksen hallinnoimiin laitteisiin.
  • Muistilaite voidaan tarvittaessa poistaa käytöstä työnantajan toimesta.
  • Holvauksen avulla suojattua massamuistia on mahdollista käyttää vain yrityksen määrittelemissä laitteissa.
  • Holvauksen käyttö on käyttäjälle täysin läpinäkyvää (salasanaa ei tarvita).
  • Holvauksessa muistitikulle tallennettava tieto salataan 256-bittisellä (AES-algoritmi) salausavaimella, jonka jälkeen 1 % salaustuloksen tiedonpalasista tallennetaan holvauspalvelimelle.

Työsuhteen päättyessä tai hukkaamistapauksissa kyseisen muistitikun käyttö voidaan yrityksen toimesta estää. Holvausta voidaan käyttää ainoastaan niiltä tietokoneilta, joilta on yhteys holvauspalvelimeen. Muistitikkuja on mahdollista käyttää myös yrityksen ulkopuolisissa tietokoneissa, jolloin käytettävän tiedon osalta ei holvausta suoriteta. Muistitikun hallinnointiin liittyvät piirteet ovat kuitenkin edelleen käytettävissä.

BadUSB-haittaohjelma
Saksalainen SRLabsin tutkijapari Karsten Nohl ja Jakob Lell toteuttivat BadUSB proof-of-concept-haittaohjelman, joka osoittaa miten haittaohjelmahyökkäyksiä voi toteuttaa suojaamattoman USB-laiteohjelman avulla. Tutkijat esittelivät havaintonsa 7.8.2014 järjestetyssä Black Hat 2014 konferenssissa.

Tutkijat havaitsivat, että USB-laiteohjelmisto on mahdollista ohjelmoida toimimaan näppäimistönä, verkkokorttina tai syöttämään haittaohjelman tietokoneen käynnistystiedostoon. Kyseessä on haittaohjelma, joka on mahdollista asentaa mihin tahansa USB-laitteeseen.

BadUSB-haittaohjelma voi esimerkiksi muokata USB-tikusta verkkokortin, joka domainnimijärjestelmän tekniikalla yhdistää verkossa olevat tietokoneet luotettavia nettisivustoja matkiville haittaohjelmia sisältäville verkkosivustoille. Lähes kaikkia USB-kytkentäisiä laitteita on mahdollista käyttää hyökkäykseen, jos haittaohjelma on asennettu laiteohjelmistoon (firmware-ohjelmistoon).

  • BadUSB voi levittää haittaohjelmaa laitteesta toiseen.
  • BadUSB voi huijata tietokoneen verkkokorttia ja muuttaa tietokoneen asetuksia ohjaamaan verkkoliikenteen haitallisille sivustoille.
  • BadUSB voi tietokoneen käynnistyksen yhteydessä kytkettynä saastuttaa käyttöjärjestelmän, jolloin haittaohjelmaa on lähes mahdotonta saada poistetuksi.

Suojaamaton USB-laiteohjelma on ongelma, koska turvaohjelmistot eivät toistaiseksi pysty tarkistamaan USB-laiteohjelmaa. Ainoa suojauskeino on käyttää vain sellaisia USB-laitteita, jotka ovat olleet uudesta saakka käyttäjän omassa hallussa, eikä laiteohjelmistoa ole jälkeenpäin päivitetty. Lähteet: (pcmag.com 31.7.2014, itcomputersupportnewyork.com 1.8.2014, techtimes.com 4.8.2014)

Case "Salaisia tietoja sisältänyt muistitikku löytyi tukholmalaisesta kirjastosta"
Muistitikku löytyi kiinnitettynä kirjaston tietokoneeseen. Löytäjä toimitti tikun Aftonbladetille. Muistitikulle oli tallennettu tietoja mm. Ruotsin Nato-joukoista Afganistanissa, yksityisen turvallisuusyhtiön tutkimusraportti Sri Lankan ulkoministerin murhasta ja Libanonin puolustusministerin murhayrityksestä. Lisäksi muistitikulle oli tallennettu analyyseja itsemurhapommittajista ja pomminteko-ohjeita.

Tietojen löytymistä tutki Ruotsin sotilastiedustelupalvelu Must. Selvittämättä jäi, oliko löytynyt muistitikku varastettu. Ruotsin armeijan ohjeet sallivat salaisten tietojen tallentamisen muistitikuille tietyin edellytyksin. Katso tapausta myös sivulta MUST. Lähde: (Digitoday, Jukka Lehtinen 4.1.2008, IT-Viikko 4.1.2008)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön